Semplice - CyberDefender AntiSpyware 2006 isn't trusted anti-spyware software!!!

This article includes simple English summary.
　CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?より続く
　(Continued from CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?)

更新料金を毎年自動的にクレジットカードより引き出し、キャンセルは難しい

使用許諾説明書（EULA）に潜む罠

　CyberDefender AntiSpyware 2006体験版をインストールする際に表示されるEULA（使用許諾説明書）に以下のような文面がある。これはCyberDefender AntiSpyware 2006をインストールする際に表示されるものだ。

10. Automatic License Renewal
As described above, you may use the Software for a period of one (1) year from the date of Purchase (“Initial Term”) without any additional cost to you.
However, at the expiration of the Initial Term, CyberDefender will automatically renew your license by charging the credit card used to purchase the Software in an amount equal to the original purchase price for successive one year terms (“Successive Term”) until cancelled in writing by you within ten days of the anniversary of the date of Purchase or a Successive Term (“Cancellation Period”).
Your written notice of cancellation should be sent via regular or overnight mail with proof of delivery to be received by CyberDefender prior to the end of Cancellation Period to:
CyberDefender Corporation
ATTN: Cancellation Department
12121 Wilshire Blvd., Suite 350
Los Angeles, CA 90025

和訳
　上記のように、あなたは追加料金無しで、購入した日付より1年間（最初の期間）の間、ソフトウェアを利用してもよい。
　しかしながら最初の期間の満期には、購入もしくは継続期間の期日の10日以内にあなたにより書面でキャンセルされるまで、CyberDefenderは自動的に、ソフトウェアの購入に利用したクレジットカードに元々の購入金額と等しい金額で支払いを請求し、一年間の期間（継続期間）としてあなたのライセンスを更新する。
　あなたの取り消し書面は通常の郵便もしくは翌日配達郵便で配達証明付きでCyberDefenderにキャンセル期間が終わる前に送付されなければならない。

　一度購入してしまえばその後は、英語にて郵便を送るまで永久に1年おきに更新料を請求され、クレジットカードより引き落とされるとの意味である。電子メールは何故にダメなのだろうか（そもそもこの部分には、メールアドレスの記載は無い）
　最も不審な点としては、郵便で送付する書類に記載すべき情報、例えば氏名住所や製品のシリアルNoなどが一切掲載されていないため、料金引き落としを停止させるためには何をどう連絡したらば良いのかが全くわからない。

　海外への配達証明郵便って、どうやって送付するんだろうか。
　とりあえず「英語で手紙を書く自信が無い日本のユーザーは、この製品をクレジットカードで購入するのは注意を払うべきだ」

有料版購入ページには、自動更新に関する説明が無い

　さて、上記は体験版インストール時に表示される使用許諾説明書の話であったが。体験版ではなく有料の製品版を購入する際には、毎年料金をクレジットカードより請求するとの説明はどうなっているのだろうか。
　CyberDefender社のhttp://www.cyberdefender.com/internet-security-company/products.htmより製品購入を試みると、https://www.regsoft.net/（以下略）へリダイレクトされるだろう。そしてこれらのページにては、自動更新によるクレジットカードからの代金引き落としについては一切記載が無い。
　同様に「CyberDefender AntiSpyware 2006 (アルテック）（http://www.altech-ads.com/product/10002723.htm）より「購入する」を押して表示されるhttps://www.regnow.com/softsell/nph-softsell.cgiにしても、そのような説明は記載されていない。

　インストールするか否かに関わらず、一度購入してしまえば代金を毎年勝手に引き落とされるのか？さすがに自分はクレジットカードで購入し試す勇気が無い。
　この状況で自動更新にて代金を引き出されるのだとしたらば、これは問題だ。1年越しの計画で試したいものだが、無理があるのでご容赦願いたい。

体験版よりのアクティベート

　体験版（Trial version）をインストールし、ACTIVATEするための画面よりclick hereを押す。

（*クリックで拡大）
　https://www.regsoft.net/regsoft/store/（以下略）の画面がIEにて表示されるだろう。
　ここにも自動更新にて金銭を毎年引き出すとの記述は存在しない。

自動更新による料金引き出しに対する、ここまでのまとめ

　購入時に一切の説明が無く。インストール時に表示されるEULA（使用許諾説明書）の記載を見たユーザーがやっと自動更新の存在を知り、自動更新を停止するためにわざわざ郵便にて連絡しなければならないようなのだが。
　大体、わざわざ英文の郵便を送らなければ毎年勝手に料金を引き出されると知ったならば、多くのユーザーは購入を躊躇するのではなかろうか？

　これではユーザーより明示的な更新希望の意思を十分に確認したとも言えないだろう。そもそも、ユーザーよりの申し込みが無いのに更新料を引き出す行為は異様なのだ。
　例えば某アンチウイルスソフトは、期限間近になればメールにてわざわざ更新を促す連絡を送付するだろう。それが当たり前なのではなかろうか。
　（もちろん自分は有料の製品版を購入していないため、体験版と製品版ではEULAの内容が違う可能性は否定しないが、それはまずありえない）

日本のエンドユーザーは自動更新による請求をどう考えるのか

　このような商習慣は、米国ではありきたりな事例なんだろうか？
　また英文の郵便にて連絡をしなければならないのは、日本人にとっては無理があるのではないだろうか。
　そこで人力検索はてなにてアンケートを実施した。カテゴリは「コンピュータ」と「インターネット」、対象ユーザー：全てのはてなユーザー、性別、年代、地域は全てである。

Question: 自動更新にて英文による郵送で明示的拒否が無い限りクレジットカードより引き落とされる料金(択一)
(Automatic License Renewal unless cancelling over mail written in English.)

1)とりあえずポイントゲット：70
(I only get answer point.)
2)意味わかりません：87
(What are you speaking about???)
3)英語が嫌い：100
(I don't like English.)
4)誰が更新したいって言ったんだよ！：55
(Who apply renewal? I didn't!!! )
5)英文でも電子メールならばOK：93
(I don't hesitate send a E-mail in English.)
6)英文で郵便を送付するのは嫌：106
(I don't hope to send a letter in English.)
7)英文で郵便を送付するのは全然OK：36
(I don't hesitate cancellation of the renewal by letter in English.)
8)更新の意思を連絡しないのに金銭を自動的に引き出すのはおかしい：852
(Automatic renewal without user's specified intention is strange!)
　購入したソフトウェアがクレジットカードより毎年自動的に更新を行うため更新料を引き出し、更新停止を申請するためには英文で郵送で連絡しなければならないのは、どう思われますか？（人力検索はてな）

　(1)(2)(3)は有効回答とはみなさず集計よりは外した。
(I regarded anser (1), (2) and (3) as meaningless answer.)
　(4)-(8)を集計。有効回答1142件のうち、ユーザーの許諾を十分に受けていないソフトウェアの更新であっても8%（n=93）は電子メールならばOK。3.5%(n=36）は英文での郵便は平気との事だ。
　そして88.7%(55+106+852）のユーザーがNoを突きつけた。このうち74.6%(n=852)は、エンドユーザーへの連絡が無いのに更新料金を引き出す行為に対し反対した。

　多少設問の仕方が不適切であった感もあるのだが。少なくともCyberDefender社の自動更新名目での料金請求は、日本の多くのエンドユーザーには受け入れられないとの解釈で間違いは無いだろう。

FTCの基準にてもCyberDefenderはダーク

　Ben Edelmanさんに興味深いネタがあるよと連絡したらば、Federal Trade Commission (FTC：米連邦取引委員会)のページを紹介され、CyberDefenderは消費者に明瞭な説明を求めるFTC Ruleを満たしていないのではとのアドバイスを頂きました。
　FTCより引用しますが、長くなりますので一部のみを抜粋。

The Prenotification Negative Option Rule
The Federal Trade Commission enforces the Prenotification Negative Option Rule.
The Rule requires companies to give you information about their plans, clearly and conspicuously, in any promotional materials that consumers can use to enroll.

＜和訳＞
通知前の否定的選択プラン
　連邦取引委員会は通知前の否定的選択プランの規則を実施する。
　規則は会社に対してどのような販売促進のネタであったとしても、消費者が登録するために使うことができるどんな販売促進のネタであっても、はっきりと明瞭にあなたに彼らのプランの情報を提示しなければならないと要求する。
　Prenotification Negative Option Plans (FTC)

　なんか、日本の国民生活センターとか消費者生活センターみたいですね。
　今後はBoguswareか否かなどの視点に留まらず、消費者保護の観点よりのアプローチが求められそうな。

Conclusion - CyberDefender AntiSpyware 2006は推奨できる製品ではない

検出力及び監視機能の不十分さ

　前報で説明した通り、性能はあまりにも稚拙だ。 　常駐監視機能が備わっているものの、堂々とこれをすりぬけるソフトウェアがあるのが理解できない。更に納得いかない点としては、すりぬけたソフトウェアは手動スキャンにより検出されるのだ。
　どうも複数のソフトウェアが同時に導入される際には、見逃しが生じるらしい。
　製品そのものに重篤な瑕疵が存在する可能性がある。

　また今回の誤検出 - つまり単なる検索履歴をマルウェア関連として検出した現象は、あまりにも不可思議である。そしてこれらは長期間に渡って修正されていない。

自動更新名目での、クレジットカードへの請求

　購入しインストールしたユーザーがわざわざ更新停止を（E-mailではなく）郵送で申請しなければならないのは、異常だ。しかもEULAには、キャンセルに当って何を連絡すべきなのかが記載されていない。
　しかも使用許諾説明書（EULA）に記載されているものの、購入ページには一切記載されていない。

　「ユーザーよりの更新停止がなければ代金を請求する」のはおかしい。「ユーザーよりの更新申請があれば代金を請求する」のが、スパイウェア対策ソフトの更新としては理想的なのではなかろうか。

　自分はCyberDefenderによる請求が、ユーザーの十分な理解を得て了承を受けたとは思えない。
　はてなでのアンケートの結果にても、大多数がこのような請求に否定的な見解を示した。

CyberDefender社の目的は何なのだろうか

　Sempliceでの過去の複数のレポートにて紹介したように、存在しない脅威を検出し購入を迫るような悪質ソフトウェアであっても何故か、最低レベルの検出力を備え、幾つかのマルウェアを検出できる場合がある。
　（幾つかの事例では、不審なスパイウェア対策ソフトを導入させたダウンローダー系マルウェアそのものを検出させ、購入を強要する目的と考えられる）

　nowandzenさんにより「（対策ソフトを装うアンチスパイウェアソフトの）機能面だけではなく、宣伝・販売面などのマーケティング的側面が問題になってくるのでは」との指摘を受け、じっくりと考えたんですが。
　存在しない脅威をちらつかせる・自作自演で検出対象ファイルを作成するようなソフトウェアは、法的な問題をクリアできない可能性が高いため、スマートではないのだろう。それよりは一旦ガッチリと握ったエンドユーザーの不安感を、ソフトウェア製造元とは別・または別と思わせる企業が営利的にアレコレする方が利口だ。

　何でもいいからまず購入させる、これは既存のBogusware/Roguewareやベイトウェア(Baiteware)にてはよくある話なのだが。自動更新機能を利用し文書によるキャンセルが行われない限り延々と料金を請求するのが目的なのだろうか？

Appendix - CyberDefender Security Toolbarとは

　このソフトウェアの名称でGoogle検索すれば、多くの「まともな（もしくはそう見える）セキュリティ対策サイト」やニュースポータルやブログが、有用なソフトウェアとして紹介している記事を目にするだろう。

　CyberDefender Security Toolbarはアルテック社が何故か、有用なフリーウェアとして紹介している。
　「CyberDefender Security Toolbar (アルテック)（http://www.altech-ads.com/product/10002287.htm）」
　まぐまぐにても、アルテック社の宣伝が2006年4月25日掲載された。

　　CyberDefender Security Toolbar（サイバーディフェンダー セキュリティ
　　ツールバー）は、アンチフィッシング、アンチハイジャッキングツールバー
　　です。様々な脅威から守ると同時に、個人情報を保護してくれます。
　説明
　‐アンチハイジャッキング技術で安全検索
　‐アンチフィッシング技術でインターネット詐欺警告
　‐スパイウェア警告
　‐パスワード警告
　‐ポップアップブロッカー
　「【日刊】 厳選！使える！世界のソフトウェア (まぐまぐ)（http://blog.mag2.com/m/log/0000137779/107205476）」

　自分にはフィッシング詐欺対策ツールなどを検証するノウハウが無いためnowandzen氏に依頼したところ、幾つかの取りこぼしはあったものの対策ツールとして正常に稼動したそうだ。

　うーむ。。。。。ここで大変悩んだんですよ。
　Spyware Warriorにより非難されている悪質ソフト製造元が、このような有用な「まともな」製品をわざわざ表で販売するものだろうか？

Acknowledge

　CyberDefender AntiSpyware 2006のお題をいただきましたm-fileさんの話題提供により、全く新しいテーマと問題点を見出せたと感謝いたします。
　2ヶ月に渡りテスト全般の解釈に様々なアイディアをいただきましたSakaiさん、文章校閲を行っていただいたmashさん、不審ソフトウェアのマーケティング的側面を指摘していただいたnowandzenさんに対し、心より御礼申し上げます。
　また米国での法令を紹介していただきましたBen Edelmanさんに、深く感謝いたします。

関連記事

　CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?
　Spyblocsのテスト報告
　ランサムウェア（Ransomware）とFUD
　マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
　Bogus wareとRogue ware、インチキソフト

English Summary of CyberDefender AntiSpyware Review

There is a vast and impressive amount of discussion about SpyBlocs in Spyware Warrior, and I reached the same conclusion that "CyberDefender AntiSpyware was the same software as SpyBlocs" as he stated on the Website.
To given an example that comes most quickly to mind, CyberDefender AntiSpyware 2006 had detected file search history and showed false positive results until recently, however, the false positive detection was not fixed for a long time. Moreover,it could hardly detect some adware/spyware files, the shortcomings of such detection were fairly obvious.
An annual charge of the licence so-called "Automatic Licence Renewal" was required by CyberDefender Corporation, and they demanded the cancellation of the renewal by letter (not E-mail !!!). The trouble was that there was no explanation as to "Automatic Licence Renewal" when consumers purchased the software on their Website.
I had been considering that they didn't had enough approval of "Automatic Licence Renewal" from us. In support of this suggestion, most Japanese contestants had a negative opinion toward "Automatic Licence Renewal without enough assent" as a result of the questionnaire in Hatena.
Interestingly, CyberDefender AntiSpyware 2006 have been sending strange ID to 66.223.40.81 (nag.cyberdefender.biz), however, activities as a spyware remain to be tested more carefully.